Merhaba,
Sorunla 3 gündür şahsi olarak mücadale etmekteyim DC bir çözüm üretemedi;
Detaylı bilgi vermek gerekirse;
3 Farklı VDS makinamın hepsine IISUSER_ACCOUNTXX isminde oturumlar açılmış;
RDP değiştirdim, şifre değiştirdim aynı sorunla karşılaştım;
1 VDS'ye eset 1 VDS'ye Avira vir kurdum 1 tanesinde bir işlem yapmadım.
Anti virüs kurulu olanlarda yeni oturum açılmadı; eset'te virüs tekrar aktif olmuş ama sildiğim oturum açılmadı,detaylı incelememde ortaya çıktı;
Virüs görev yönetici isimler; acnom.exe dllhost.exe gibi isimler;
Tüm makinelerde güncellemeler kapalıydı ve güvenlik duvarı pasifti;
Hepsinde updateler otomatik aktif olmuş ve güvenlik duvarı aktif olmuş;
Anti kurmadığım VDS'de ise sildiğim oturum tekrar açılmış;
Onada anti kurdum Avira; şuanda beklemedeydim taa ki bu konuyu görene kadar;
Müşterilerimin müsait olduğu zamanda güncellemeleri gerçekleştireceğim.
RDP portu bir işe yaramamaktadır, çare format atarak 2012 yada güncellemeleri yapmaktır.
Eset'i sildim yerine avast kurdum başarılı oldu;
Avira veya Avast file server ile temizliği yapabilirsiniz.
Hack Saldırısı [ Bişeyler oluyor ]
47
●6.585
- 25-04-2017, 20:01:58
- 25-04-2017, 22:14:31SysteMNetwork adlı üyeden alıntı: mesajı görüntüle
Merhaba
Bilgilendirme için teşekkürler,
Konuyu bilmeyen arkadaşlara hatırlatmakta fayda varki, Server 2008'lerde geçtiğimiz günlerde güvenlik açığı tespit edildi, ve bu sebeple Server 2008'ler büyük bir tehlike altında.
Microsoft güncelleme paketi çıkarmıştır: https://blogs.technet.microsoft.com/...aluating-risk/
İlgili güncellemeleri yapmayan arkadaşlar her ihtimale karşı yaparlarsa faydalı olabilir ayrıca @SysteMNetwork belirttiği gibi virüs programıda kullanılabilir. - 26-04-2017, 01:09:49Aynı sorun bende de vardır. Sorun güncellemelerin çalışmamasından kaynaklanmış.
Güncellemesi çalışmayan arkadaşlar Services'den BITS (Background Intelligent Transfer Service) buna baksın. Bu varsa güncelleştirmeler çalışıyor. Bende yoktu bundan dolayı güncelleştirmeler çalışmamış.
sc create BITS type= share start= delayed-auto binPath= “C:\Windows\System32\svchost.exe -k netsvcs” tag= no DisplayName= “Background Intelligent Transfer Service”
CMD'yi run as administrator olarak çalıştırıp yukarıdaki komutu çalıştırıp ardından makinayı resetleyin. Güncelleştirmeler çalışır hale gelecektir.
Umarım bi faydası olur. - 26-04-2017, 02:05:27Tamamen benim başıma gelen bastan sona benim gibi davranmışsın benim gibi çözümüşsünSysteMNetwork adlı üyeden alıntı: mesajı görüntüle
)
Bir an dedim beni hackleyen beni izledide mi yazdı)
- 26-04-2017, 17:07:35ip bloklarından 21(ftp), 22(ssh),25(smtp), 80(http), 3389(rdp windows) bunlara durmadan istek gelir.Flexible adlı üyeden alıntı: mesajı görüntüle
21,22,3389 a ise root ve Administrator şifre denemeleri gelir.
çok basit bir script ile socket testi yaparlar. eğer socket o portlarda cevap veriyorsa bu sefer saldırı başlar.
ana sunucularımdan birine(windows server 2012 r2) olay görüntüleyicide o kadar başarısız istek vardı ki. çoğu çin ip blokları üstünden geliyor.
bu arada NSA(abd deki kurumdan bahsediyorum) zaten windowslara çok rahat erişim sağlıyor. Bu virüsler başka açıklardan bulunan ve ismi benzer olan bir virüs. NSA nasıl izliyor derseniz snowdeni izleyin.
Korunmak istiyorsanız 3389 nolu portu değiştirin. - 26-04-2017, 17:35:33Bir ilginçliktir gidiyor, port değişip zor parola kullanan ve sadece tarayıcı açıp hacklenen var.PcMaKeR adlı üyeden alıntı: mesajı görüntüle
- 26-04-2017, 17:58:38Son 1 haftadır işi gücü bıraktık bunların pisliğini temizlemeye uğraşır olduk.Axerhosting adlı üyeden alıntı: mesajı görüntüle
Bakalım şanslı kişiler bugun kim olacak, sıra bize ne zaman gelecek falan : )
Gerçekten çok can sıkıcı bi durum haline gelmeye başladı. - 26-04-2017, 18:03:51Evet yazılımsal firewall tarafına bakmak gerekiyor.Axerhosting adlı üyeden alıntı: mesajı görüntüle
)
